“متسللون يسرقون شهادة Mimecast المستخدمة للتأمين مع Microsoft 365”
26 يناير ، 2021 Mimecast يوم الثلاثاء رسميًا مؤكد أن المهاجمين الذين يقفون وراء Solarwinds Hack كانوا مسؤولين عن المساس بالشهادة الرقمية التي قدمتها الشركة لتأمين الاتصالات لتبادل Microsoft 365 (M365).
متابعات-ميكسي نيوز
….قال Mimecast يوم الثلاثاء إن “ممثل التهديد المتطور” قد أدى إلى تعرض شهادة رقمية قدمته لعملاء بعض العملاء لتوصيل منتجاتها بشكل آمن بتبادل Microsoft 365 (M365).
تم اكتشاف هذا الاكتشاف بعد أن تم إخطار الخرق من قبل Microsoft ، الشركة التي تتخذ من لندن مقراً لها قال في تنبيه تم نشرها على موقعها على الويب ، مضيفًا أنه تم التواصل مع المنظمات المتأثرة لعلاج المشكلة.
لم توضح الشركة نوع الشهادات التي تم اختراقها ، لكن عروض Mimecast سبع شهادات رقمية مختلفة استنادًا إلى الموقع الجغرافي الذي يجب تحميله إلى M365 لإنشاء اتصال خادم في Mimecast.
وقالت الشركة “ما يقرب من 10 في المائة من عملائنا يستخدمون هذا الاتصال”. “من بين أولئك الذين يفعلون ذلك ، هناك دلائل على أن عدد أرقام واحدة منخفضة من مستأجري عملائنا M365 تم استهدافهم.”
MIMECAST هي خدمة إدارة البريد الإلكتروني المستندة إلى مجموعة النظراء في Microsoft Exchange و Microsoft Office 365 ، توفر للمستخدمين منصة أمان البريد الإلكتروني والاستمرارية لحمايتها من الرسائل غير المرغوب فيها والبرامج الضارة والتصيد والهجمات المستهدفة.
يتم استخدام الشهادة المخترقة للتحقق من ومصادقة Mimecast مزامنة واستعادةو شاشة الاستمراريةوالبريد الإلكتروني الداخلي حماية (IEP) المنتجات إلى M365 Exchange Web Services.
يمكن أن يؤدي نتيجة لمثل هذا الانتهاك إلى هجوم رجل في الوسط (MITM) ، حيث يمكن أن يتولى الخصم تولي اتصالات البريد الإلكتروني واعتراض مرور البريد الإلكتروني ، وحتى سرقة المعلومات الحساسة.
كإجراء احترازي لمنع سوء المعاملة في المستقبل ، قالت الشركة إنها طلبت من عملائها حذف الاتصال الحالي ضمن مستأجر M365 مع تأثير فوري وإعادة تأسيس اتصال جديد قائم على الشهادة باستخدام الشهادة الجديدة التي توفرها.
“إن اتخاذ هذا الإجراء لا يؤثر على تدفق البريد الوارد أو الخارجي أو المسح الأمني المرتبط به” ، صرح Mimecast في استشاريه.
يستمر التحقيق في الحادث ، حيث أشارت الشركة إلى أنها ستعمل عن كثب مع Microsoft وإنفاذ القانون حسب الاقتضاء.
ويأتي هذا التطور كرهود رويترز ، مستشهدا مصادر ، قال كان المتسللون الذين قاموا بالتخلي عن Mimecast هم نفس المجموعة التي انتهكت صانع البرمجيات الأمريكية Solarwinds ومجموعة من الوكالات الحكومية الأمريكية الحساسة.
وقال متحدث باسم الشركة لصحيفة هاكر نيوز: “تحقيقنا مستمر وليس لدينا أي شيء إضافي للمشاركة في هذا الوقت”.
تحديث (26 يناير ، 2021): خرق Mimecast مرتبط بـ Solarwinds Hack
Mimecast يوم الثلاثاء رسميًا مؤكد أن المهاجمين الذين يقفون وراء Solarwinds Hack كانوا مسؤولين عن المساس بالشهادة الرقمية التي قدمتها الشركة لتأمين الاتصالات لتبادل Microsoft 365 (M365).
وقالت الشركة في تحديث “لقد أكد تحقيقنا الآن أن هذا الحادث يرتبط بالتنازل عن برنامج Solarwinds Orion Software وقد ارتكبته نفس ممثل التهديد المتطور”.
“على الرغم من أننا لا ندرك أن أيًا من أوراق الاعتماد المشفرة قد تم فك تشفيرها أو إساءة استخدامها ، فإننا ننصح العملاء المستضافين في الولايات المتحدة والمملكة المتحدة لاتخاذ خطوات احترازية لإعادة تعيين بيانات الاعتماد الخاصة بهم.”
وكشف التحقيق أن ممثل التهديد الذي تم الوصول إليه وربما بعض بيانات اعتماد حساب خدمة مشفرة من قبل العملاء المستضافين في الولايات المتحدة والمملكة المتحدة.
تُستخدم بيانات الاعتماد لإنشاء اتصالات من مستأجري Mimecast إلى الخدمات السحابية والسحابة ، مثل LDAP و Azure Active Directory و Exchange Web Services و Pop3 Journaling و SMTP.
“من الواضح أن هذا الحادث جزء من هجوم واسع النطاق متطور للغاية ويركز على أنواع محددة من المعلومات والمنظمات.”
إلى جانب المقياس ، شبكات بالو ألتو و Fidelis Cybersecurity أكدت أيضًا إصدارات طروادة من برنامج Solarwinds Orion في بيئاتها ، مع أخذ عدد بائعي الأمن السيبراني الذين يستهدفهم المتسللين إلى سبعة.
